240 发简信
IP属地:甘肃
  • 来看看,最全的金融产品风险等级划分

    清风君根据自己从业多年的认知,把自己了解的各类国内的,我们经常能接触到的金融产品的风险等级做了一下划分: 第一级 银行定期存款、结构化存款,货币基金、银行保本型理财,国债 第...

  • jmeter和wrk的差异

    Jmeter适合一些企业级的应用,逻辑复杂,但对并发的要求不是很高。多线程模型,支持集群。 wrk适合一些互联网型的业务,高并发、高可用、逻辑相对简单的业务,合微服务、api...

  • 我的朋友也发了那个图,我很惊讶,vue有那么冷么?他解释道,咱们这边可能用的比较多

  • 总结,目的性太强,很容易被利用;没有硬实力,成也颜值,败也颜值。

  • 120
    由Seata看分布式事务取舍

    微服务兴起这几年涌现出不少分布式事务框架,比如ByteTCC、TCC-transaction、EasyTransaction以及最近很火爆的Seata。最近刚看了Seata的...

  • SCSS 教程

    Sass是成熟、稳定、强大的CSS预处理器,而SCSS是Sass3版本当中引入的新语法特性,完全兼容CSS3的同时继承了Sass强大的动态功能。 特性概览 CSS书写代码规模...

  • OAuth2授权码模式详细流程(一)——站在OAuth2设计者的角度来理解code

    本文来自于公众号链接: OAuth2授权码模式详细流程(一)——站在OAuth2设计者的角度来理解code [图片上传失败...(image-74c76-158702045...

  • 120
    基于spring-boot的应用程序的单元+集成测试方案

    概述 本文主要介绍单元测试、集成测试相关的概念、技术实现以及最佳实践。 本文的demo是基于Java语言,Spring Boot构建的web应用。测试框架使用Junit,模拟...

  • 彻底理解浏览器同源策略SOP

    本文来自于公众号链接: 彻底理解浏览器同源策略SOP 多种认证方式的优先级问题,如何杜绝冲突的问题 两个示例的描述不清晰的问题 这是一篇理论和实战相结合的干货文章,建议手机...

  • 彻底掌握CORS跨源资源共享

    本文来自于公众号链接: 彻底掌握CORS跨源资源共享 本文接上篇公众号文章:彻底理解浏览器同源策略SOP 一.概述 在云时代,各种SAAS应用层出不穷,各种互联网API接口...

  • 不喜欢你,为什么还要去联系你,不联系你,又哪来的友谊呢?如果不一直是他在付出,你们之间有友谊吗?只有你的索取,你既想要他的陪伴,又不想承担和他有太多关系,你不知道普通的男女朋友关系,平常半个月都不会联系一次?既然,他已经说喜欢你了,你就要明确的告诉他,或者和他保持距离,不要给别人错觉,耽误别人的时间。

  • 内容没细看,但我对这标题确实无比认同。

    jwt最致命的问题,就是将用户标识明文(base64等同明文)的放在客户端,而且单一依赖同一个secret。一旦secret被泄露,那攻击者就可以毫不费力的冒充所有用户。

    而不幸的是,secret的保护并不足够:
    1. 一般作为配置,总有人容易接触到。(在安全领域,人是最不可靠的)
    2. 要更换secret的话,已签发的所有token都将失效(比如知道了secret的人要离职)
    3.算法是明文的,所以,攻击者通过暴力破解,有较大可能碰撞出secret,这是因为:
    a. 很多人用一些常见或简单的词语作为secret
    b. 碰撞时只需要本机运算,不会访问服务器(如果有足够的利益驱动,算力不是问题),也就是说服务端根本不会知道有人得知了secret。
    同样,如果有人碰撞出了secret,那他可以任意的构造不同的用户身份而且不会被发觉

  • ..ThoughtWorks已经沦落到这个水平了

  • @成功的失败者 分成三种token是不是增加复杂度了.得不偿失

    讲真,别再使用JWT了!

    摘要: 在Web应用中,使用JWT替代session并不是个好主意 适合JWT的使用场景 抱歉,当了回标题党。我并不否认JWT的价值,只是它经常被误用。 什么是JWT 根据维...

  • 使用这个是为了系统微服务化,如果用session就是个大尾巴,干点啥都要考虑它,麻烦得很